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Dispositif et procede de protection de donnees sensibles et machine a affranchir les 
mettant en oeuvre 



10 La presente invention se rapporte a un dispositif et a un procede de 

protection de donnees sensibles et a une machine a affranchir les mettant en 
oeuvre. 

Elle s'applique en particulier aux machines a affranchir dotees d'un 
programme s'executant dans un environnement multi-taches et plus 
15 generalement a la protection de donnees sensibles, representant par exemple, 
des sommes d'argent, ou de taches sensibles manipulant les donnees 
sensibles. 

Dans un environnement multitaches, chaque tache peut appeler 
chaque routine, quelle que soit la securite necessaire sur ladite routine. Dans 
20 une machine a affranchir, certaines taches mettent en oeuvre des montants 
representant des sommes d'argent. En particulier, les phases d'exploitation 
d'une machine d'affranchissement ou de recharge utilisent les routines qui 
manipulent des sommes d'argent. 

La mise en oeuvre correcte de chacune de ces taches doit etre 
25 garantie. On entend par mise en oeuvre correcte, le fait qu'une tache s'execute 
dans le cadre normal du fonctionnement de la machine. En d'autres termes, 
rinvention vise a empecher que des donnees sensibles ne soient alterees ou 
modifiees de maniere inopportune. 

A cet effet. la presente invention vise a ce que au moins une routine 
30 agissant sur des donnees sensibles verifie I'identite de taches qui lui font appel. 
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Ainsi, si une tache non autorisee tente de faire appel a ladite routine, 
celle-ci peut limiter son execution et done eviter de porter atteinte aux donnees 
sensibles considerees. 

Selon un premier aspect, la presente invention vise un precede de 
5 protection de donnees sensibles centre {'usage d*une routine agissant sur 
lesdites donnees, caracterise en ce qu'il comporte, mise en oeuvre par ladite 
routine, une operation de verification d'identite de chaque tache logicielle 
appelant ladite routine, 

Grace a ces dispositions, si une tache non autorisee est utilisee pour 
10 acceder a ladite routine qui utilise des donnees sensibles, en verifiant son 
identite. cette routine detecte qu'elle n'est pas autorisee et empeche Tacces aux 
donnees sensibles considerees. 

Dans le cas d'une machine a affranchir, par exemple, les routines 
concernees comportent la routine d'incrementation du compteur de montant 
15 d'affranchissement consomme et de decrementation du compteur de montant 
d'affranchissement restant disponible et la routine d'incrementation du compteur 
de nombre d'affranchissement effectues. 

Selon des caracteristiques particulieres, ladite operation de 
verification comporte une operation de lecture d'un identifiant de ladite tache et 
20 une operation de comparaison dudit identifiant, d'une part, et d'identifiants 
predetermines, d'autre part, 

Grace a ces dispositions, toutes les taches autorisees a mettre en 
oeuvre la routine en question sont identifiees dans une liste particuliere, ce qui 
facilite la programmation de la routine et la mise a jour de cette programmation. 
25 Selon d'autres caracteristiques particulieres, chaque routine agissant 

sur lesdites donnees met en oeuvre ladite operation de verification. 

Grace a ces dispositions, quelle que soit la routine qui tente 
d'acceder aux donnees sensibles, la protection offerte par la presente invention 
est assuree par ladite routine. 
30 Selon un deuxieme aspect, la presente invention vise un dispositif de 

protection de donnees sensibles centre Pusage d'une routine agissant sur 
lesdites donnees. caracterise en ce qu'il comporte un moyen de verification 



wo 00/39676 PCT/FR99/02992 



adapte a verifier Tidentite de chaque tache logicielle appelant ladite routine, le 
moyen de verification etant mis en oeuvre par ladite routine. 

L'invention vise, aussi, une machine a affranchir, caracterisee en ce 
qu'elle comporte un dispositif tel que succinctement expose ci-dessus. 
5 L'invention vise aussi : 

- un moyen de stockage d'informations lisible par un ordinateur ou 
un microprocesseur conservant des instructions d'un programme informatique 
caracterise en ce qu'il permet la mise en oeuvre du precede de Tinvention telle 
que succinctement exposee ci-dessus, et 
10 - un moyen de stockage d'informations amovible, partiellement ou 

totalement, et lisible par un ordinateur ou un microprocesseur conservant des 
instructions d'un programme informatique caracterise en ce qu'il permet la mise 
en oeuvre du precede de Tinvention telle que succinctement exposee ci-dessus. 

Ce dispositif, cette machine a affranchir et ces moyens de stockage 
15 presentant les memos caracteristiques particulieres et les memes avantages 
que le precede succinctement expose ci-dessus, ces avantages ne sent pas 
rappeles ici. 

D'autres avantages, buts et caracteristiques ressortiront de la 
description qui va suivre, faite en regard des dessins annexes dans lesquels : 
20 - les figures 1A et 1B representent, respectivement en vue de dessus 

et en elevation, une machine a affranchir mettant en oeuvre le dispositif et le 
precede de protection de donnees objets de la presente invention, 

- la figure 2 represente, schematiquement. un circuit electronique 
incorpore dans la machine a affranchir illustree en figures 1 A et 1B, et 
25 - la figure 3 represente un algorithme de fonctionnement du circuit 

electronique illustre en figure 2. 

La machine a affranchir 1 illustree sur les dessins (figures 1 A et 1B) 
comporte un dispositif pour imprimer, sur un objet plat tel que la lettre 2, d'une 
part, une marque d*affranchissement et, eventuellement, une adresse de 
30 destination de Tenveloppe. 

Pour imprimer la marque d'affranchissement sur I'emptacement 
normalise prevu a cet effet. il faut faire passer la lettre 2 dans un couloir 5 que 
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comporte la machine 1, ce couloir etant delimite par des elements solidaires du 
bati, respectivement un support de glissement 6 qui forme le plafond du couloir 
5, une table 7 qui en forme le plancher et une rampe qui en forme une limite 
laterale, le couloir etant ouvert a I'oppose de cette rampe. 
5 Pour faire passer la lettre 2 dans le couloir 5, on pose la lettre sur la 

partie de la table 7 qui est en saillie du cote prevu pour Tintroduction (cote que 
Ton voit a gauche en figure 1B) puis on fait rentrer la lettre dans le couloir 5. 
comme montre en figures 1A et IB, jusqu'a ce qu'elle soit entramee par les 
moyens prevus a cet effet dans la machine 1. Timpression de la marque 

10 d'affranchissement s'effectuant automatiquement pendant que la lettre 2 est 
entramee dans le couloir 5, la lettre affranchie etant expulsee de la machine a 
I'autre extremite du couloir 5 (extremite que Ton voit a droite en figure 1 B). 

Pour entraTner la lettre 2. la machine 1 comporte deux galets 9 et 10 
passant chacun au travers d'une ouverture de la table 7, et deux contre-galets 

15 12 et 13, respectivement pour le galet 9 et pour le galet 10, passant au travers 
d'une ouverture du support 6. 

Les galets 9 et 10 sont montes a rotation par rapport au bati de la 
machine 1, par I'intermediaire de moyens de suspension 14 montres 
schematiquement sur la figure 1 B. 

20 Les contre-galets 12 et 13 sont montes a rotation sur le bati de la 

machine 1, sans etre suspendus par rapport a celui-ci. Un moteur electrique 
non represents sert a entraTner en rotation synchrone les contre-galets 12 et 
13, par exemple par I'intermediaire d'une courroie (non representee) qui tourne 
autour de trois pignons portes respectivement par le moteur. par le contre-galet 

25 1 2 et par le contre-galet 1 3. 

Etant donne que les moyens de suspension 14 sollicitent les galets 9 
et 10 vers le support 6, et done vers les contre-galets 12 et 13, les galets 9 et 
10 sont entraines par friction sur les contre-galets 12 et 13, directement ou par 
Tintermediaire d'un objet. tel que la lettre 2, en cours de passage dans la 

30 machine 1. 

La lettre 2, lorsqu'elle est introduite dans le couloir 5 comme montre 
sur la figure IB, finit par rencontrer le galet 9 puis le contre-galet 12 qui 
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rentrame dans le sens indique sur la figure 1B par ia fleche horizontale orientee 
de gauche a droite. Simultanement, le galet 9 s'abaisse tandis que la lettre 2 
s'introduit entre les galets 9 et 12 de sorte que la lettre 2 progresse dans la 
machine 1 avec sa face a imprimer 4 qui est plaquee et qui glisse contre la 
5 surface 1 7 du support de glissement 6. 

Pour innprimer la marque d'affranchissement a Templacement 
normalise qui lui correspond et/ou Tadresse de destination a Templacement 
normalise qui lui correspond, la machine 1 comporte des moyens d'impression 
19 montres tres schematiquement sur la figures 1A et 1B. 
10 D'une faQon generale, les moyens d'impression 19 deposent la 

marque d'affranchissement pendant que ia lettre 2 ou Tobjet a affranchir circule 
dans la machine 1 avec sa face a imprimer qui est plaquee contre la surface 17 
du support de glissement 6, les moyens 19 etant situes entre les contre-galets 
12et 13. 

15 Dans Texemple illustre, les moyens d'impression 19 sont montes 

directement sur le bati de la machine, et sont done fixes par rapport au support 
de glissement 6. 

Afin que les moyens d'impression 19 soient commandes en 
synchronisme avec Tavancement de Tobjet dans la machine, il est prevu un 
20 detecteur de presence de Tobjet (reference 110 en figure 2) qui declenche un 
processus d'impression se deroulant automatiquement. 

Plus precisement, il existe un premier detecteur de presence qui 
commande la mise en route du moteur (non represents) lorsqu'un objet 
commence a etre introduit dans la machine 1. et un deuxieme detecteur de 
25 presence (non represente) qui declenche le processus d'impression lorsque 
I'objet est par\/enu a un emplacement predetermine. 

En figure 2, est represente un circuit electronique de commande du 
dispositif tel que presente en figures IA et IB. Ce circuit est illustre sous forme 
de schema synoptique et represente sous reference generale 100. II comporte. 
30 relies entre eux par un bus d'adresses et de donnees 102 : 
une unite centrale de traitement 106 ; 
une memoire vive RAM 104 ; 
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une memoire morte ROM 105 ; 

un port d'entree sortie 103 servant a recevoir : 

• le poids de Tobjet postal a affranchir. et 

• la detection de Tobjet postal par chacun des detecteurs (non 
5 representes aux figures) 

et a transmettre : 

• des signaux de commande de moteurs, et 
et, independamment du bus 102 : 

des nnoteurs pas-a-pas 109 ; 
10 - des detecteurs de presence 110; 

un ecran de visualisation 108 relie au port d'entree/sortie 103 ; 

une balance 112 reliee au port d'entree/sortie 103 et fournissant des 

octets representatifs du poids d*un objet postal ; 

un clavier 101 relie au port d'entree/sortie 103 et fournissant des octets 
15 representatifs des touches de clavier successivement utilisees ; et 

un controleur d'impression 120 qui commande le fonctionnement des 
moyens d'impression 19. 

Chacun des elements illustres en figure 2 est bien connu de Thomme 
du metier des machines a affranchir possedant un circuit a microprocesseur et, 
20 plus generalement, des systemes de traitement de Tinformation. Ces elements 
ne sont done pas decrits ici. 

La memoire vive 104 conserve des donnees, des variables et des 
resultats intermediaires de traitement, dans des registres de memoire portant, 
dans la suite de la description, les memes noms que les donnees dont ils 
25 conservent les valours. La memoire vive 104 comporte notamment des 
registres conservant des informations representatives du poids de Tobjet postal 
a affranchir, le format de I'objet postal en cours de traitement, le nombre 
d*objets postaux dans le lot en cours de traitement, des valeurs de compteurs 
ascendant et descendant qui correspondent a des montants d'affranchissement 
30 deja deposes et restant a deposer avant le rechargement de la machine, Ces 
derniers registres fonctionnent selon des techniques connues dans le domaine 
des machines a affranchir (au cours de chaque affranchissement, lorsque le 
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montant du compteur descendant est superieur au montant de la marque 
d'affranchissement a deposer, il est decremente du montant de cette marque et 
le compteur ascendant est incremente du meme montant). 

La memoire morte 105 est adaptee a conserver le programme de 
5 fonctionnement de Tunite centrale de traitement 106. dans un registre 
program 1 et les donnees necessaires au fonctionnement de ce programme 
ainsi que la table de correspondance mettant en relation des poids, d'une part, 
a des montants d'affranchissement, d'autre part. 

La memoire morte 105 conserve, en outre, dans un registre 
10 "liste_d'identifiants'\ une liste d'identifiants de taches logicielles autorisees a 
acceder aux routines qui utilisent des donnees sensibles (ici des montants 
d'affranchissement). 

En fait, la memoire dite "morte" 105 est une memoire reinscriptible 
qui ne s'efface pas lorsque le dispositif est eteint, Elle n'est reinscriptible que 
15 selon des procedures securisees et seulement par certaines personnes 
habilitees. si bien que, pour Tutilisateur quotidian, elle apparait comme une 
memoire morte. 

Uunite centrale de traitement 106 est adaptee a mettre en oeuvre le 
programme conserve en memoire morte 105, programme dont un algorithme de 
20 fonctionnement est illustre en figure 3. 

Le programme ou logiciel de la machine a affranchir est un logiciel 
multitache. ce qui implique une allocation, par le processeur, d'un espace 
memoire. ou pile, associe a chaque tache. Get espace memoire est contenu 
dans la memoire vive 104. 
25 Au cours d'une operation 301 : 

- la carte electronique 10 est initialisee par Tunite centrale de 
traitement 106. selon des techniques connues, et 

- ['unite centrale de traitement 106 attribue un identifiant (constitue ici 
d'un numero) a chaque tache de I'application. 

30 Au cours d'une operation 302, I'unite centrale 106 execute une partie 

de programme ne necessitant aucun appel a une routine utilisant des donnees 
sensibles. 
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Au cours d'une operation 303, Tunite centrale 106 met en oeuvre une 
tache qui fait appel a Tune des routines qui utilisent les donnees sensibles. 

Au cours d'une operation 304, la routine 400 consideree 
(representees en traits discontinus) lit Tidentifiant de la tache en cours 
5 d'execution en faisant appel a une routine dite "systeme" de type connu. 
destinee a cette lecture. 

Ensuite. au cours d'un test 305, la routine 400 compare Tidentifiant 
de la tache au contenu de la liste d'identifiants conserves en memoire morte 
105 et determine si cet identifiant de tache se trouve dans la liste. 
10 Lorsque le resultat du test 305 est positif. la tache est autorisee a 

acceder a la routine et {'utilisation de donnees sensibles est executee, au cours 
d'une operation 306. Puis I'unite centrale 106 retourne au fonctionnement 
represents en 302. 

Lorsque le resultat du test 305 est negatif. la tache n'est pas 
15 autorisee a acceder a la routine, Le fonctionnement de Tunite centrale 106 est 
alors arretee et une alarme est declenchee. operation 307, jusqu'a ce que la 
machine a affranchir soit mise hors tension, operation 308. 

On comprend que le precede de protection de donnees sensibles 
contre Tusage d'une routine agissant sur lesdites donnees vise par la presente 
20 invention comporte, mise en oeuvre par ladite routine, une operation 400 de 
verification d'identite de chaque tache logicielle appelant ladite routine. 

On comprend aisement que, grace a Torganisation de la tache 400. 
et. en particulier, grace a la surveillance de I'identite des taches qui font appel a 
elle, la modification des donnees sensibles, par le biais de cette routine est 
25 impossible. 

En variante, les routines 400 (c'est-a-dire celles qui verifient Tidentite 
de la tache les appelant avant d'effectuer un acces a des donnees sensibles) 
comportent non seulement les routines qui accedent aux compteurs de montant 
d'affranchissement. mais aussi des routines agissant sur des donnees 
30 statistiques ou des parametres de fonctionnement de la machine a affranchir. 

Dans le mode de realisation decrit et represente. ladite operation de 
verification 400 comporte une operation de lecture d'un identifiant de ladite 
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tache 304 et une operation de comparaison 305 dudit identifiant, d'une part, et 
d'identifiants predetermines, d'autre part. 

Dans le mode de realisation decrit et represents, chaque routine 
agissant sur les donnees sensibles met en oeuvre ladite operation de 
* 5 verification 400. 

Le dispositif de protection de donnees sensibles centre Tusage d'une 
routine agissant sur lesdites donnees, caracterise en ce qu'il comporte, comme 
moyen de verification {'unite centrale 106. associee aux memoires 104 et 105, 
pour verifier Tidentite de chaque tache logicielle appelant ladite routine, ce 
10 moyen de verification etant mis en oeuvre par ladite routine. 
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REVENDICATIONS 

1. Procede de protection de donnees sensibles contre Tusage d'une 
routine agissant sur lesdites donnees, caracterise en ce qu'il comporte, mise en 
oeuvre par ladite routine, une operation de verification d'identite de chaque 

5 tache logicielle appelant ladite routine (400). 

2. Procede de protection selon la revendication 1, caracterise en ce 
que ladite operation de verification (400) comporte une operation de lecture 
d'un identifiant de ladite tache (304) et une operation de comparaison (305) 
dudit identifiant, d'une part, et d'identifiants predetermines, d'autre part. 

10 3. Procede de protection selon Tune quelconque des revendications 

1 ou 2, caracterise en ce que chaque routine agissant sur lesdites donnees met 
en oeuvre ladite operation de verification (400). 

4. Dispositif de protection de donnees sensibles contre Tusage d'une 
routine agissant sur lesdites donnees, caracterise en ce qu'il comporte un 

15 moyen de verification (104. 105, 106) adapte a verifier Tidentite de chaque 
tache logicielle appelant ladite routine, le moyen de verification etant mis en 
oeuvre par ladite routine. 

5. Dispositif de protection selon la revendication 4. caracterise en ce 
que ledit moyen de verification (104, 105, 106) comporte un moyen de lecture 

20 (104, 105, 106) d'un identifiant de ladite tache et un moyen de comparaison 
(104, 105, 106) dudit identifiant, d'une part, et d'identifiants predetermines, 
d'autre part. 

6. Procede de protection selon Tune quelconque des revendications 
4 ou 5, caracterise en ce que chaque routine agissant sur lesdites donnees met 

25 en oeuvre ledit moyen de verification (104. 105. 106). 

7. Machine a affranchir (1). caracterisee en ce qu'elle comporte un 
dispositif seton Tune quelconque des revendications 4 a 6. 
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